НТВ плюс 

Защита от несанкционированного доступа. Защита от несанкционированного доступа к данным

Защита от несанкционированного доступа к данным

Несанкционированный доступ (НСД) злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:

2. Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов.

3. Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети.

4. Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.

Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа.
Данные средства можно разделить на две категории:

1. Средства ограничения физического доступа.

2. Средства защиты от несанкционированного доступа по сети.

Средства ограничения физического доступа

Наиболее надежное решение проблемы ограничения физического доступа к компьютеру – использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками». Пример электронного замка представлен на рис. 5.3.

Рисунок 5.3 – Электронный замок для шины PCI

Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.
На подготовительном этапе использования электронного замка выполняется его установка и настройка. Настройка включает в себя следующие действия, обычно выполняемые ответственным лицом – администратором по безопасности:

1. Создание списка пользователей, которым разрешен доступ на защищаемый компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от поддерживаемых конкретным замком интерфейсов – дискета, электронная таблетка iButton или смарт-карта), по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка.

2. Формирование списка файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера. Контролю подлежат важные файлы операционной системы, например, следующие:

Системные библиотеки Windows ;

Исполняемые модули используемых приложений;

Шаблоны документов Microsoft Word и т. д.

Контроль целостности файлов представляет собой вычисление их эталонной контрольной суммы, например, хэширование по алгоритму ГОСТ Р 34.11-94, сохранение вычисленных значений в энергонезависимой памяти замка и последующее вычисление реальных контрольных сумм файлов и сравнение с эталонными. В штатном режиме работы электронный замок получает управление от BIOS защищаемого компьютера после включения последнего. На этом этапе и выполняются все действия по контролю доступа на компьютер (см. упрощенную схему алгоритма на рис. 5.4), а именно:

Рисунок 5.4 – Упрощенная схема алгоритма работы электронного замка

1. Замок запрашивает у пользователя носитель с ключевой информацией, необходимой для его аутентификации. Если ключевая информация требуемого формата не предъявляется или если пользователь, идентифицируемый по предъявленной информации, не входит в список пользователей защищаемого компьютера, замок блокирует загрузку компьютера.

2. Если аутентификация пользователя прошла успешно, замок рассчитывает контрольные суммы файлов, содержащихся в списке контролируемых, и сравнивает полученные контрольные суммы с эталонными. В случае, если нарушена целостность хотя бы одного файла из списка, загрузка компьютера блокируется. Для возможности дальнейшей работы на данном компьютере необходимо, чтобы проблема была разрешена Администратором, который должен выяснить причину изменения контролируемого файла и, в зависимости от ситуации, предпринять одно из следующих действий, позволяющих дальнейшую работу с защищаемым компьютером:

Восстановить исходный файл;

Удалить файл из списка контролируемых.

3. Если все проверки пройдены успешно, замок возвращает управление компьютеру для загрузки штатной операционной системы.

Поскольку описанные выше действия выполняются до загрузки операционной системы компьютера, замок обычно загружает собственную операционную систему (находящуюся в его энергонезависимой памяти – обычно это MS-DOS или аналогичная ОС , не предъявляющая больших требований к ресурсам), в которой выполняются аутентификация пользователей и проверка целостности файлов. В этом есть смысл и с точки зрения безопасности – собственная операционная система замка не подвержена каким-либо внешним воздействиям, что не дает возможности злоумышленнику повлиять на описанные выше контролирующие процессы. Информация о входах пользователей на компьютер, а также о попытках несанкционированного доступа сохраняется в журнале, который располагается в энергонезависимой памяти замка. Журнал может быть просмотрен Администратором. При использовании электронных замков существует ряд проблем, в частности:



1. BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOS’у замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset ) в случае, если в течение определенного интервала времени после включения питания замок не получил управление.

2. Злоумышленник может просто вытащить замок из компьютера. Однако, существует ряд мер противодействия:

Различные организационно-технические меры: пломбирование корпуса компьютера, обеспечение отсутствие физического доступа пользователей к системному блоку компьютера и т. д.

Существуют электронные замки, способные блокировать корпус системного блока компьютера изнутри специальным фиксатором по команде администратора – в этом случае замок не может быть изъят без существенного повреждения компьютера.

Довольно часто электронные замки конструктивно совмещаются с аппаратным шифратором. В этом случае рекомендуемой мерой защиты является использование замка совместно с программным средством прозрачного (автоматического) шифрования логических дисков компьютера. При этом ключи шифрования могут быть производными от ключей, с помощью которых выполняется аутентификация пользователей в электронном замке, или отдельными ключами, но хранящимися на том же носителе, что и ключи пользователя для входа на компьютер. Такое комплексное средство защиты не потребует от пользователя выполнения каких-либо дополнительных действий, но и не позволит злоумышленнику получить доступ к информации даже при вынутой аппаратуре электронного замка.

Средства защиты от НСД по сети

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN – Virtual Private Network ) и межсетевое экранирование. Рассмотрим их подробно.

Виртуальные частные сети

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN -агенты (рис. 5.5). VPN -агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.

Рис. 5.5 ‑ Схема построения VPN

Перед отправкой в сеть любого IP -пакета VPN -агент производит следующее:

1. Из заголовка IP -пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN -агента выбираются алгоритмы защиты (если VPN -агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN -агента не предусмотрена отправка IP -пакета данному адресату или IP -пакета с данными характеристиками, отправка IP -пакета блокируется.

2. С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP -пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.

3. С помощью выбранного алгоритма шифрования производится зашифрование IP -пакета.

4. С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP -пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN -агенте адресата и VPN -агенте отправителя. Т.е. выполняется трансляция сетевых адресов.

5. Пакет отправляется VPN -агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.

При приеме IP -пакета VPN -агент производит следующее:

1. Из заголовка IP -пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается.

2. Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.

3. Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.

4. Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.

5. Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.

VPN -агент может находиться непосредственно на защищаемом компьютере (например, компьютеры «удаленных пользователей» на рис. 5.5). В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.
Основное правило построения VPN – связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN -агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN -агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты. Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN . Такие каналы обычно называют туннелями , аналогия с которыми просматривается в следующем:

1. Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.

2. Инкапсуляция IP- пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN -агентами, поскольку все внутренние IP -адреса в передаваемых через Интернет IP -пакетах в этом случае не фигурируют.

Правила создания туннелей формируются в зависимости от различных характеристик IP -пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP -пакета:

1. IP -адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.

2. IP -адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.

3. Идентификатор пользователя (отправителя или получателя).

4. Протокол транспортного уровня (TCP/UDP ).

5. Номер порта, с которого или на который отправлен пакет.

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN -агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:

Антивирусное сканирование;

Контроль корректности пакетов;

Контроль корректности соединений (например, установления, использования и разрыва TCP -сессий);

Контент-контроль.

Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами . По аналогии с VPN -агентами существуют и персональные межсетевые экраны, защищающие только компьютер, на котором они установлены. Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.

Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности:

1. Защита компьютера от физического доступа.

2. Защита компьютера от НСД по сети и организация VPN .

3. Шифрование файлов по требованию.

4. Автоматическое шифрование логических дисков компьютера.

5. Вычисление/проверка ЭЦП.

6. Защита сообщений электронной почты.

Наблюдаемые в последние годы тенденции к развитию информационных технологий могут привести к появлению качественно новых (информационных) форм борьбы, получивших название информационной войны. Устоявшегося, международного признанного определения информационной войны нет. Одним из компонентов ведения информационной войны является так называемое информационное оружие, которое эксперты определяют как совокупность средств и методов, позволяющих похищать, искажать или уничтожать информацию, ограничивать или прекращать доступ к ней законных покупателей, нарушать работу или выводить из строя телекоммуникационные сети и компьютерные системы, используемые в обеспечении жизнедеятельности общества и государства.

Классификация принципов защиты от НСД

Принцип обоснованности доступа. Данный принцип заключается в обязательном выполнении 2-х основных условий: пользователь должен иметь достаточную "форму допуска" для получения информации требуемого им уровня конфиденциальности, и эта информация необходима ему для выполнения его производственных функций.

Принцип достаточной глубины контроля доступа. Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов автоматизированных систем, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями.

Принцип разграничения потоков информации. Для предупреждения нарушения безопасности информации, которое, например, может иметь место при записи секретной информации на несекретные носители и в несекретные файлы, ее передаче программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации.

Принцип чистоты повторно используемых ресурсов. Данный принцип заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.

Принцип персональной ответственности. Каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможнее нарушения ее защиты, т.е. какие-либо случайные или умышленные действия, которые приводят или могут привести к несанкционированному ознакомлению с конфиденциальной информацией, ее искажению или уничтожению, или делают такую информацию недоступной для законных пользователей.

Принцип целостности средств защиты. Данный принцип подразумевает, что средства защиты информации в автоматизированных системах должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения должна включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе.

Основные направления обеспечения защиты от НСД

Обеспечение защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) осуществляется: системой разграничения доступа (СРД) субъектов к объектам доступа; обеспечивающими средствами для СРД.

Основными функциями СРД являются:

  • - реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;
  • - реализация ПРД субъектов и их процессов к устройствам создания твердых копий;
  • - изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
  • - управление потоками данных в целях предотвращения записи данных на носители несоответствующего грифа;
  • - реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.

Обеспечивающие средства для СРД выполняют следующие функции:

  • - идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
  • - регистрацию действий субъекта и его процесса;
  • - предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов; реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
  • - тестирование;
  • - очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
  • - учет выходных печатных и графических форм и твердых копий в АС;
  • - контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.

Способы реализации СРД зависят от конкретных особенностей СВТ и АС. Возможно применение следующих способов защиты и любых их сочетаний:

  • - распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);
  • - СРД в рамках операционной системы, СУБД или прикладных программ;
  • - СРД в средствах реализации сетевых взаимодействий или на уровне приложений; использование криптографических преобразований или методов непосредственного контроля доступа; программная и (или) техническая реализация СРД.

Вывод: невозможно абсолютно защитить информацию от несанкционированного доступа. Для выбора принципа организации защиты от НСД необходим индивидуальный подход в каждом конкретном случае.

Сравнительный анализ наиболее распространенных средств защиты информации от несанкционированного доступа

Проведен сравнительный анализ наиболее распространенных средств защиты информации (СЗИ) от несанкционированного доступа (НСД), применяемых для защиты данных в информационных системах. Критерии сравнения выбраны исходя из характеристик СЗИ от НСД.

Для защиты информации в компьютерных системах от атак на уровне операционной системы, системы сетевого программного обеспечения и системы управления базами данных применяются средства защиты информации от несанкционированного доступа (СЗИ от НСД). Определяющим фактором выбора СЗИ от НСД в информационной системе является соответствие нормам и требованиям уполномоченных органов в сфере обработки данных. Наиболее распространенными средствами защиты информации от несанкционированного доступа в ИСПДн семейства MS Windows являются средства : "Secret Net LSP", "Dallas Lock 8.0?K", "Панцирь?К", "Аура 1.2.4".

Все вышеперечисленные СЗИ являются сертифицированными программными средствами защиты информации, поддерживающими автономный и сетевой режим работы. Кроме того, они выполняют схожие функции, такие как:

  • 1. Идентификация и аутентификация пользователей.
  • 2. Разграничение и контроль доступа пользователей к ресурсам системы, терминалам, ЭВМ, узлам сети ЭВМ, внешним устройствам, программам, томам, каталогам, файлам и т. д.
  • 3. Учет носителей информации.
  • 4. Контроль целостности защищаемых ресурсов.
  • 5. Контроль компонентов СЗИ.
  • 6. Контроль вывода на печать и маркировка документов.
  • 7. Уничтожение (затирание) содержимого файлов при их удалении.
  • 8. Регистрация событий безопасности в журнале.
  • 9. Теневое копирование выводимой информации.

В сетевом режиме СЗИ выполняют следующие функции:

  • 1. Централизованное управление настройками СЗИ.
  • 2. Централизованный сбор информации о событиях безопасности на защищаемых компьютерах.

Методика сравнительного анализа СЗИ от НСД "Secret Net LSP", "Dallas Lock 8.0?K", "Панцирь?К", "Аура 1.2.4" приводится ниже.

Критериями для сравнительного анализа в настоящей работе выбраны следующие технические характеристики СЗИ от НСД:

  • 1. Класс защищенности.
  • 2. Уровень контроля НДВ.
  • 3. .
  • 4. Дополнительные аппаратные требования: требуемый объем свободного места на жестком диске для размещения СЗИ.
  • 5. : есть или нет.

Указанные технические характеристики для выбранных СЗИ от НСД приводятся в таблице 1.

Таблица 1 - Технические характеристики СЗИ от НСД

Критерии сравнения

Dallas Lock 8.0-K

Панцирь-К

СЗИ Аура 1.2.4

Класс защищенности

По 3 классу защищенности

По 5 классу защищенности

По 5 классу защищенности

По 5 классу защищенности

Уровень контроля НДВ

По 2 уровню контроля

По 4 уровню контроля

По 4 уровню контроля

По 4 уровню контроля

Класс автоматизированных систем

До класса 1Б включительно

До класса 1Г включительно

До класса 1Г включительно

До класса 1Г включительно

Дополнительная аппаратная поддержка

есть (Secret Net Card, ПАК "Соболь")

есть (ПАК контроля активности КСЗИ)

Таблица 2 - Матрица показателей

В данной матрице каждому показателю Aij присваивается определенное числовое значение.

Поясним назначение числовых значений показателей Aij на примере СЗИ от НСД "Secret Net LSP". Класс защищенности, уровень контроля НДВ и класс автоматизированной системы выше, чем у остальных СЗИ, принятых для сравнительного анализа. С другой стороны, требуемый объем жесткого диска для реализации этого СЗИ значительно больше, что вводит ограничения на возможности аппаратных средств. Теперь необходимо ввести следующее правило для количественной оценки показателя Aij: показатель должен принимать тем большее значение, чем выше значимость выбранного критерия для принятия решения. В данном конкретном случае, количественную оценку показателей для принятых критериев сравнения будем выполнять следующим образом:

А 1J = 1 / (Класс защищенности: 3 или 5);

А 2J = 1 / (Уровень контроля НДВ: 2 или 4);

А 3J = 1 / (Класс автоматизированных систем: 2 - для класса 1Б или 4 - для класса 1Г);

А 4J = 1 / (Требуемый объем жесткого диска в Гб);

А 5J = 1 - дополнительная аппаратная поддержка есть; 0 - дополнительной аппаратной поддержки нет.

Таким образом, нетрудно получить числовые значения матрицы показателей (таблица 3).

Таблица 3 - Матрица показателей. Числовые значения

Критерии сравнения

Dallas Lock 8.0-K

Панцирь-К

СЗИ Аура 1.2.4

Класс защищенности

Уровень контроля НДВ

Класс автоматизированных систем

Дополнительные аппаратные требования: свободное место на жестком диске

1/0,030 = 33,333

1/0,020 = 50,000

Дополнительная аппаратная поддержка

Дальнейший сравнительный анализ проводится с помощью расчета рейтинга по критериям сравнения.

где Aij - текущее значение показателя;

Aimin - минимальное значение показателя для указанного критерия;

Aimax - максимальное значение показателя для указанного критерия;

где m - количество критериев средства защиты информации.

Пример расчета по предложенной методике приводится ниже в таблицах 4 и 5. Весовые коэффициенты назначены из условия приоритетных требований по первым трем критериям сравнения.

Таблица 4 - Исходные данные для расчета итогового рейтинга СЗИ от НСД

Вывод: проанализировав основные критерии выбранных СЗИ от НСД, предложена методика их сравнительного анализа. С точки зрения технического уровня, из числа рассмотренных средств защиты информации, бесспорным преимуществом обладает СЗИ от НСД "Secret Net LSP". Однако необходимо учитывать, что данное СЗИ может применяться не только для защиты конфиденциальной информации, но и для защиты секретной (сертифицирован по 3 классу защищенности СВТ и по 2 уровню контроля НДВ), поэтому для защиты ИСПДн "Secret Net LSP", в данном случае, избыточен. Далее приоритеты распределяются следующим образом: "Панцирь?К", "Dallas Lock 8.0?K" и СЗИ "Аура 1.2.4".

Существует притча о самом надежном способе хранения информации: Информация должна быть в одном экземпляре на компьютере, который находится в бронированном сейфе, отключенный от всех сетей и обесточенный.

Понятно, что работать с такой информацией, мягко говоря, неудобно. В то же время хочется защитить программы и данные от несанкционированного доступа (НСД). А чтобы доступ был санкционированным, нужно определиться, кому что можно, а что нельзя.

Для этого нужно:

  1. разбить на классы информацию, хранящуюся и обрабатывающуюся в компьютере;
  2. разбить на классы пользователей этой информации;
  3. поставить полученные классы информации и пользователей в определенное соответствие друг другу.

Доступ пользователей к различным классам информации должен осуществляться согласно системе паролей, в качестве которой могут выступать:

  • обычные пароли;
  • настоящие замки и ключи;
  • специальные тесты идентификации пользователей;
  • специальные алгоритмы идентификации ПЭВМ, дискеты, программного обеспечения.

Системы защиты информации от НСД обеспечивают выполнение следующих функций:

  1. идентификация, т.е. присвоение уникальных признаков - идентификаторов, по которым в дальнейшем система производит аутентификацию;
  2. аутентификация, т.е. установление подлинности на основе сравнения с эталонными идентификаторами;
  3. разграничение доступа пользователей к ПЭВМ;
  4. разграничение доступа пользователей по операциям над ресурсами (программы, данные и т.д.);
  5. администрирование:
    • определение прав доступа к защищаемым ресурсам,
    • обработка регистрационных журналов,
    • установка системы защиты на ПЭВМ,
    • снятие системы защиты с ПЭВМ;
  6. регистрация событий:
    • входа пользователя в систему,
    • выхода пользователя из системы,
    • нарушения прав доступа;
  7. реакция на попытки НСД;
  8. контроль целостности и работоспособности систем защиты;
  9. обеспечение информационной безопасности при проведении ремонтно-профилактических работ;
  10. обеспечение информационной безопасности в аварийных ситуациях.

Права пользователей по доступу к программам и данным описывают таблицы, на основе которых и производится контроль и разграничение доступа к ресурсам. Доступ должен контролироваться программными средствами защиты. Если запрашиваемый доступ не соответствует имеющемуся в таблице прав доступа, то системы защиты регистрирует факт НСД и инициализирует соответствующую реакцию.

Идентификация и аутентификация пользователя

Прежде чем получить доступ к ресурсам, пользователь должен пройти процесс представления компьютерной системе, который включает две стадии:

  • идентификацию - пользователь сообщает системе по ее запросу свое имя (идентификатор);
  • аутентификацию - пользователь подтверждает идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль).

Для проведения процедур идентификации и аутентификации пользователя необходимо наличие:

  • программы аутентификации;
  • уникальной информации о пользователе.

Различают две формы хранения информации о пользователе: внешняя (например, пластиковая карта или голова пользователя) и внутренняя (например, запись в базе данных). Естественно, что информация, хранящаяся в голове, и информация в базе данных должны быть семантически тождественны. Беда с жадным братом Али-Бабы Касимом приключилась именно из-за несовпадения внешней и внутренней форм: сим-сим не тождественен гороху, рису и т.д.

Рассмотрим структуры данных и протоколы идентификации и аутентификации пользователя.

Практически любому ключевому носителю информации, используемому для опознания, соответствует следующая структура данных о пользователе:

  • ID i - неизменный идентификатор i-го пользователя, который является аналогом имени и используется для идентификации пользователя;
  • K i - аутентифицирующая информация пользователя, которая может изменяться и служит для аутентификации (например, пароль P i = K i).

Так для носителей типа пластиковых карт выделяется неизменяемая информация ID i и объект в файловой структуре карты, содержащий K i .

Совокупную информацию в ключевом носителе можно назвать первичной аутентифицирующей информацией i-го пользователя. Очевидно, что внутренний аутентифицирующий объект не должен существовать в системе длительное время (больше времени работы конкретного пользователя). Например, Вы ввели пароль, который программа аутентификации занесла в переменную для сравнения с хранящимися в базе данных. Эта переменная должна быть обнулена не позже, чем Вы закончите свой сеанс. Для длительного хранения следует использовать данные в защищенной форме.

Рассмотрим две типовые схемы идентификации и аутентификации.

Схема 1.

Здесь E i = F(ID i , K i), где "невосстановимость" K i оценивается некоторой пороговой трудоемкостью T 0 решения задачи восстановления K i по E i и ID i . Кроме того для пары K i и K j возможно совпадение соответствующих значений E. В связи с этим вероятность ложной аутентификации пользователей не должна быть больше некоторого порогового значения P 0 . На практике задают T 0 = 10 20 ...10 30 , P 0 = 10 -7 ...10 -9 .

Протокол идентификации и аутентификации (для схемы 1).

  1. Вычисляется значение E = F(ID, K).

Схема 2 (модифицированная). В компьютерной системе хранится:

Здесь E i = F(S i , K i), где S - случайный вектор, задаваемый при создании идентификатора пользователя; F - функция, которая обладает свойством "невосстановимости" значения K i по E i и S i .

Протокол идентификации и аутентификации (для схемы 2).

  1. Пользователь предъявляет свой идентификатор ID.
  2. Если существует i = 1...n, для которого ID = ID i , то пользователь идентификацию прошел успешно. Иначе пользователь не допускается к работе.
  3. По идентификатору ID выделяется вектор S.
  4. Модуль аутентификации запрашивает у пользователя его аутентификатор K.
  5. Вычисляется значение E = F(S, K).
  6. Если E = E i , то аутентификация прошла успешно. Иначе пользователь не допускается к работе.

Вторая схема аутентификации применяется в OC UNIX. В качестве идентификатора используется имя пользователя (запрошенное по Login), в качестве аутентификатора - пароль пользователя (запрошенный по Password). Функция F представляет собой алгоритм шифрования DES. Эталоны для идентификации и аутентификации содержатся в файле Etc/passwd.

Следует отметить, что необходимым требованием устойчивости схем идентификации и аутентификации к восстановлению информации K i является случайный равновероятный выбор K i из множества возможных значений.

Простейший метод применения пароля основан на сравнении представленного пароля с исходным значением, хранящимся в памяти. Если значения совпадают, то пароль считается подлинным, а пользователь - законным. Перед пересылкой по незащищенному каналу пароль должен шифроваться. Если злоумышленник каким-либо способом все же узнает пароль и идентификационный номер законного пользователя, он получит доступ в систему.

Лучше вместо открытой формы пароля P пересылать его отображение, получаемое с использованием односторонней функции f(P). Это преобразование должно гарантировать невозможность раскрытия пароля по его отображению. Так противник наталкивается на неразрешимую числовую задачу.

Например, функция f может быть определена следующим образом:

f(P) = E P (ID) ,
где P - пароль, ID - идентификатор, E P - процедура шифрования, выполняемая с использованием пароля в качестве ключа.

На практике пароль состоит из нескольких букв. Но короткий пароль уязвим к атаке полного перебора. Для того, чтобы предотвратить такую атаку, функцию f определяют иначе:

f(P) = E P + K (ID) ,
где K - ключ (таблетка Toch-memory, USB-ключ и т.п.)

Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.). В последнее время все большее распространение получает биометрическая идентификация и аутентификация, позволяющая уверенно идентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения.

Основные достоинства биометрических методов идентификации и аутентификации:

  • высокая степень достоверности идентификации по биометрических признакам из-за их уникальности;
  • неотделимость биометрических признаков от дееспособной личности;
  • трудность фальсификации биометрических признаков.

В качестве биометрических признаков, которые могут быть использованы для идентификации потенциального пользователя, используются:

  • узор радужной оболочки и сетчатки глаз;
  • отпечатки пальцев;
  • геометрическая форма руки;
  • форма и размеры лица;
  • термограмма лица;
  • форма ушей;
  • особенности голоса;
  • биомеханические характеристики рукописной подписи;
  • биомеханические характеристики "клавиатурного почерка".

При регистрации пользователь должен продемонстрировать один или несколько раз свои характерные биометрические признаки. Эти признаки (известные как подлинные) регистрируются системой как контрольный "образ" законного пользователя. Этот образ пользователя хранится в электронной форме и используется для проверки идентичности каждого, кто выдает себя за соответствующего законного пользователя.

Системы идентификации по узору радужной оболочки и сетчатки глаз могут быть разделены на два класса:

  • использующие рисунок радужной оболочки глаза;
  • использующие рисунок кровеносных сосудов сетчатки глаза.

Поскольку вероятность повторения данных параметров равна 10 -78 , эти системы являются наиболее надежными среди всех биометрических систем. Такие средства применяются, например, в США в зонах военных и оборонных объектов.

Системы идентификации по отпечаткам пальцев являются самыми распространенными. Одна из основных причин широкого распространения таких систем заключается в наличии больших банков данных по отпечаткам пальцев. Основными пользователями таких систем во всем мире являются полиция, различные государственные организации и некоторые банки.

Системы идентификации по геометрической форме руки используют сканеры формы руки, обычно устанавливаемые на стенах. Следует отметить, что подавляющее большинство пользователей предпочитают системы именно этого типа.

Системы идентификации по лицу и голосу являются наиболее доступными из-за их дешевизны, поскольку большинство современных компьютеров имеют видео- и аудиосредства. Системы данного класса широко применяются при удаленной идентификации в телекоммуникационных сетях.

Системы идентификации по динамике рукописной подписи учитывают интенсивность каждого усилия подписывающегося, частотные характеристики написания каждого элемента подписи и начертания подписи в целом.

Системы идентификации по биомеханическим характеристикам "клавиатурного почерка" основываются на том, что моменты нажатия и отпускания клавиш при наборе текста на клавиатуре существенно различаются у разных пользователей. Этот динамический ритм набора ("клавиатурный почерк") позволяет построить достаточно надежные средства идентификации.

Следует отметить, что применение биометрических параметров при идентификации субъектов доступа автоматизированных систем пока не получило надлежащего нормативно-правового обеспечения, в частности в виде стандартов. Поэтому применение систем биометрической идентификации допускается только в системах, обрабатывающих и хранящих персональные данные, составляющие коммерческую и служебную тайну.

Взаимная проверка подлинности пользователей

Обычно стороны, вступающие в информационный обмен, нуждаются во взаимной аутентификации. Этот процесс выполняется в начале сеанса связи.

Для проверки подлинности применяют следующие способы:

  • механизм запроса-ответа;
  • механизм отметки времени ("временной штемпель").

Механизм запроса-ответа . Если пользователь A хочет быть уверен, что сообщения, получаемые им от пользователя B, не являются ложными, он включает в посылаемое для B сообщение непредсказуемый элемент - запрос X (например, некоторое случайное число). При ответе пользователь B должен выполнить над этим числом некоторую заранее оговоренную операцию (например, вычислить некоторую функцию f(X)). Это невозможно осуществить заранее, так как пользователю B неизвестно, какое случайное число X придет в запросе. Получив ответ с результатом действий B, пользователь A может быть уверен, что B - подлинный. Недостаток этого метода - возможность установления закономерности между запросом и ответом.

Механизм отметки времени подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети может определить насколько "устарело" пришедшее сообщение и не принимать его, поскольку оно может быть ложным.

В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником.

При использовании отметок времени возникает проблема допустимого временного интервала задержки для подтверждения подлинности сеанса. Ведь сообщение с "временным штемпелем" в принципе не может быть передано мгновенно. Кроме того, компьютерные часы получателя и отправителя не могут быть абсолютно синхронизированы.

Для взаимной проверки подлинности обычно используют процедуру "рукопожатия" , которая базируется на указанных выше механизмах и заключается во взаимной проверке ключей, используемых сторонами. Иначе говоря, стороны признают друг друга законными партнерами, если докажут друг другу, что обладают правильными ключами. Процедуру "рукопожатия" применяют в компьютерных сетях при организации связи между пользователями, пользователем и хост-компьютером, между хост-компьютерами и т.д.

В качестве примера рассмотрим процедуру "рукопожатия" для двух пользователей A и B. Пусть применяется симметричная криптосистема. Пользователи A и B разделяют один и тот же секретный ключ K AB .

  • Пользователь A инициирует "рукопожатие", отправляя пользователю B свой идентификатор ID A в открытой форме.
  • Пользователь B, получив идентификатор ID A , находит в базе данных секретный ключ K AB и вводит его в свою криптосистему.
  • Тем временем пользователь A генерирует случайную последовательность S с помощью псевдослучайного генератора PG и отправляет ее пользователю B в виде криптограммы E K AB (S).
  • Пользователь B расшифровывает эту криптограмму и раскрывает исходный вид последовательности S.
  • Затем оба пользователя преобразуют последовательность S, используя одностороннюю функцию f.
  • Пользователь B шифрует сообщение f(S) и отправляет криптограмму E K AB (f(S)) пользователю A.
  • Наконец, пользователь A расшифровывает эту криптограмму и сравнивает полученное сообщение f"(S) с исходным f(S). Если эти сообщения равны, то пользователь A признает подлинность пользователя B.

Пользователь A проверяет подлинность пользователя B таким же способом. Обе эти процедуры образуют процедуру "рукопожатия", которая обычно выполняется в самом начале любого сеанса связи между любыми двумя сторонами в компьютерных сетях.

Достоинством модели "рукопожатия" является то, что ни один из участников связи не получает никакой секретной информации во время процедуры подтверждения подлинности.

Иногда пользователи хотят иметь непрерывную проверку подлинности отправителей в течение всего сеанса связи. Рассмотрим один из простейших способов непрерывной проверки подлинности.

Чтобы отправить сообщение M, пользователь A передает криптограмму E K (ID A , M). Получатель расшифровывает ее и раскрывает пару (ID A , M). Если принятый идентификатор ID A совпадает с хранимым, получатель принимает во внимание это сообщение.

Вместо идентификаторов можно использовать секретные пароли, которые подготовлены заранее и известны обеим сторонам. Продолжение: Протоколы идентификации с нулевой передачей знаний

Литература

  1. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. Под ред. В.Ф. Шаньгина. - 2-е изд., перераб. и доп. - М.:Радио и связь, 2001. - 376 с.: ил.

Хакеры и вирусы на AS/400? Это невозможно. Они пиратствуют только на Unix и ПК.

Я вспоминаю фильм "Парк юрского периода", в конце которого девочка подходит к компьютеру, на котором была совершена диверсия, приведшая к выходу динозавров на свободу. "Это Unix!" - восклицает она, вскрывает его защиту и немедленно устраняет неполадки. Тут я сказал про себя: "Конечно, чего же Вы хотели от Unix". А в фильме "День независимости" вирус был запущен в компьютер космического корабля пришельцев. Большинство зрителей до этого и не подозревали, что инопланетяне используют компьютеры Apple Macintosh. Но, слава Богу, это оказалось именно так, вирус сработал, и наш мир был спасен.

Вообще, в фильмах часто злодеи проникают в чужие компьютеры, или недовольный сотрудник внедряет вирус в компьютерную сеть фирмы. Приятно сознавать, что ничего подобного на AS/400 произойти не может. Или всетаки может?

Как и многие другие функции, в AS/400, в отличие от большинства иных систем, защита была встроена с самого начала, а не добавлена уже после создания. Однако никакие средства защиты не помогут, если их не использовать, а многие пользователи AS/400 так и делают. Например, в среде клиент/ сервер необходимо принимать специальные меры для защиты данных AS/400 от незащищенных клиентов, таких как Windows 95 и Windows NT. Более того, в современном сетевом мире многие AS/400 подключены к Интернету, в этом случае также следует применять определенные средства защиты информационных ресурсов. По счастью, интегрированные средства защиты AS/400 обеспечивают крепкий фундамент безопасности всей системы. В этой лекции мы рассмотрим средства защиты AS/400 и обсудим, как лучше использовать их.

Интегрированная защита

В прошлом защитить вычислительную систему было относительно легко. Обычно, было достаточно вставить замок в дверь машинного зала и заставить конечных пользователей вводить при входе в систему пароль . Современный мир уже не так прост. Наибольшей степени опасности подвергаются AS/400, включенные в вычислительную сеть : во внутрифирменную ЛВС или в глобальную сеть , например в Интернет . В любом случае, AS/400 предоставляет средства для минимизации или полного устранения риска несанкционированного доступа. Проблемы защиты вычислительной системы очень похожи на те, что возникают при защите дома или автомобиля: Вы должны правильно рассчитать соотношение цены и допустимой степени риска.

Очевидно, что в разных ситуациях AS/400 нужен разный уровень защиты. У пользователя должна быть возможность самостоятельного выбрать этот уровень. Хорошая система защиты разработана так, чтобы компьютер мог работать вообще без защиты, с ограниченной защитой или с полной защитой, но во всех случаях система защиты должна быть активна.

И сейчас есть системы, запертые в помещениях, куда доступ строго ограничен. Понятно, что им не нужен такой уровень защиты, как компьютеру, подключенному к Интернету. Но с течением времени требования к защите и этих систем могут повыситься. Интегрированная защита AS/400 достаточно гибка, чтобы перестроиться по мере изменения требований к ней.

Защита AS/400 представляет собой комбинацию средств защиты в OS/400 и в SLIC . В OS/400 реализованы уровни общесистемной защиты, при этом OS/400 полагается на функции защиты объектов на уровне MI. Например, как упоминалось в "Объекты" , MI выполняет проверку прав доступа при каждом обращении к объекту. За действия MI по защите объектов ответственен SLIC . Реализуемый им тип защиты называется авторизацией и предназначен для предохранения объекта от несанкционированного доступа или изменения.

Некоторые компоненты защиты AS/400 расположены полностью поверх MI в OS/400, например, задание системных параметров защиты. Другие, такие как контроль за доступом к объектам, полностью реализованы ниже MI в SLIC . Третьи компоненты защиты реализованы частично над, а частично под MI. Пример - поддержка привилегированных команд и специальных прав доступа. Давайте подробнее рассмотрим компоненты, лежащие и выше и ниже MI.

Уровни защиты

AS/400 предназначены для широкого применения в различных областях человеческой деятельности. Соответственно, и требования к их защищенности варьируются от уровня ее полного отсутствия до уровня защиты, сертифицированной правительством. Задавая соответствующие системные параметры, можно выбрать одну из пяти степеней: отсутствие защиты, парольная защита, защита ресурсов, защита ОС и сертифицированная защита. При конфигурировании AS/400 должны быть заданы четыре системных параметра, относящихся к защите: QAUDJRL, QMAXSIGN, QRETSVRSEC и QSECURITY.

Системным параметром, определяющим уровень защиты, является QSECURITY. В System/38 и первых AS/400 было только три уровня системной защиты, в версии V1R3 OS/400 к ним добавился четвертый, а в V2R3 - пятый, высший уровень защиты. Допустимые значения QSECURITY - 10, 20, 30, 40 и 50.

AS/400 поддерживает также дополнительную функцию аудита. Если эта функция задействована, то определенные события, связанные с защитой, заносятся в журнал. То, какие конкретно события протоколировать в журнале аудита защиты, определяет значение системного параметра QAUDJRL и текущий уровень защиты. Могут протоколироваться такие события, как попытки несанкционированного доступа, удаление объектов, идентификация программ, использующих привилегированные команды и др. Содержимое журнала защиты анализирует администратор защиты.

Максимальное количество неудачных попыток входа в систему задает системный параметр QMAXSIGN. Если число таких попыток превысит значение этого параметра, то терминал или устройство, с которого они были предприняты, отключаются от системы и связь между ними и системой разрывается. Такой метод позволяет предотвратить попытки подобрать пароль для входа в систему. Значение параметра QMAXSIGN для каждого устройства сбрасывается после успешного входа в систему.

Системный параметр QRETSVRSEC (Retain Server Security Data ) определяет, может ли информация , необходимая AS/400 для аутентификации пользователя на другой системе через интерфейсы клиент/ сервер , запоминаться сервером. Если информация запоминается, то сервер ее использует. Если нет, то сервер будет запрашивать идентификатор и пароль пользователя для другой системы. Системный параметр FFQRETSVRSEC используется для клиент/серверных интерфейсов TCP/IP , Novell NetWare и Lotus Notes.

Теперь давайте рассмотрим каждый из пяти уровней защиты, начиная с самого низкого.

Отсутствие защиты (уровень 10)

Уровень 10 означает самую низкую степень защищенности - отсутствие таковой. Для доступа к системе не требуется пароля и любому пользователю разрешен доступ ко всем системным ресурсам и объектам без ограничений. Единственное условие - нельзя влиять на задания других пользователей системы.

Системный уровень защиты 10 обычно применяется тогда, когда достаточно только физической защиты системы, например, замка на двери машинного зала. Любой пользователь, имеющий физический доступ к машине, может войти в систему. При этом он не обязан регистрироваться . Регистрация пользователя предполагает наличие где-либо в системе профиля пользователя. Такой профиль при использовании уровня защиты 10 создается автоматически, если еще не существует.

Парольная защита (уровень 20)

Если Вам нужна только защита при входе в систему, используйте уровень 20. При этой степени защиты требуется, чтобы пользователь AS/400 был зарегистрирован и знал правильный пароль. После того, как разрешение на вход в систему получено, пользователь имеет доступ ко всем ее ресурсам без ограничений. Как видите отличие от уровня 10 незначительно.

Только в одном особом случае доступ пользователя к системе при уровне 20 ограничивается: если в профиле пользователя это специально оговорено. Пользователь с ограниченными возможностями может только выбирать пункты меню. Большинство системных меню имеют строку ввода команд, и упомянутое средство ограничивает использование системных команд.

Предположим, что в организации есть группа работников, в чьи обязанности входит прием заказов на товары и ввод соответствующих данных в систему. Для таких пользователей целесообразно создать специальное меню и разрешить им действовать только в этих рамках, для чего их следует зарегистрировать как пользователей с ограниченными возможностями и задать в их профилях меню, доступ к которому им разрешен.

Но даже пользователю с ограниченными возможностями разрешено исполнять четыре необходимых команды: для отправки сообщений, для отображения сообщений, для отображения состояния задания и для выхода из системы. То, какие именно команды открыты для пользователя с ограниченными возможностями, можно задать индивидуально. Ограничение возможностей также определяет, какие поля пользователь может изменять при входе в систему.

Уровни 20 и 10, не обеспечивают системе защищенность, так как после регистрации пользователя в системе, он может производить там любые операции. Я бы не рекомендовал ограничиваться столь низкими степенями защиты за исключением особых случаев, когда сама система практически недоступна извне.

Защита ресурсов (уровень 30)

Минимальным рекомендуемым уровнем защиты является уровень 30. На этом уровне, так же как и на уровне 20, для входа в систему пользователь должен быть зарегистрирован и знать правильный пароль. После входа в систему проверяется, обладает ли пользователь правами доступа к системным ресурсам; несанкционированный доступ не разрешается. На уровне 30 пользователь также может быть зарегистрирован с ограниченными возможностями.

Отдельным пользователям могут быть предоставлены права доступа к системным объектам, таким как файлы, программы и устройства. Обеспечивают такую возможность профили пользователя, и вскоре мы поговорим подробнее о том, каким образом они это делают. Мы также рассмотрим другие варианты наделения пользователя правами доступа к системным объектам: с помощью групповых или общих прав.

Уровень защиты 30 был наивысшим в System/38. Но на нем не различаются пользовательские объекты и объекты, используемые только ОС. В связи с доступностью на System/38 ассемблера MI и наличия определенной информации о внутренней структуре объектов возникла серьезная проблема. ISV стали писать прикладные пакеты, зависящие от внутренней структуры объектов, что нарушало технологическую независимость MI.

В первых моделях AS/400 использовались те же самые уровни защиты. Хотя в AS/400 не было ассемблера MI, и мы не публиковали информацию о внутренних структурах, специалисты довольно скоро поняли, что AS/400 - это System/38. Поэтому программы, зависимые от внутренней структуры объектов, работали и на AS/400.

Мы понимали, что при переходе к клиент/серверным вычислениям, AS/400 нужна более надежная защита, блокирующая доступ к большинству внутренних объектов. В связи с переходом на RISC-процессоры изменениям подверглась и внутренняя структура. Но если бы мы просто реализовали новый, повышенный, уровень зашиты, то программы, зависимые от внутренней структуры объектов, перестали бы работать, что вызвало бы недовольство заказчиков.

Мы объявили о том, что собираемся встроить в V1R3 новый уровень защиты, и что на этом уровне доступа к внутренним объектам не будет. Мы также начали искать тех ISV , кто использовал внутренние объекты, чтобы предоставить им стандартные системные API, с информацией, необходимой для их программ.

Большая часть таких программ были утилитами, использовавшими информацию некоторых полей внутри системного объекта. Например, системе управления магнитной лентой могли понадобиться некоторые данные о заголовке ленты. Такую информацию можно было получить единственным способом - проникнув в системный объект. Мы создали сотни API для предоставления подобной информации через MI (по сути дела, эти API были новыми командами MI) и гарантировали, что они будут работать во всех последующих версиях ОС. Таким образом мы развязали себе руки и начали вносить изменения во внутренние структуры.

С защитой связана еще одна серьезная тема: тема открытости AS/400. Довольно долго многие ISV не только использовали внутренние объекты, но и настаивали, что бы IBM сделала внутреннее устройство ОС открытым и дала тем самым "зеленый свет" разработчикам ПО. В ответ IBM утверждала, что при неправильном использовании команд MI велика вероятность программных сбоев, за которые она не может нести ответственность. Компромисс (управляемая открытость через API) был достигнут, частично в результате серии заседаний группы COMMON, начатых по инициативе ISV и других пользователей. Работу с ISV и определение новых API возглавил Рон Фесс (Ron Fess) - один из основных разработчиков ПО с большим опытом работ по CPF и OS/400. Результат это работы - реализация на AS/400 Single UNIX Specification и других стандартных API. AS/400 стала более открытой для пользователей.

Защита ОС (уровень 40)

Уровень 40 появился в версии V1R3 OS/400. Сегодня все новые AS/400 поставляют ся именно с этим уровнем защиты, а не 10, как ранее. Но старые версии OS/400 и при модернизации сохраняют текущий уровень, установленный заказчиком. Теперь пароль начальника защиты (пользователь, обладающий правами доступа наивысшего уровня) становится недействительным после первого ввода в систему и он должен его изменить. Ранее заказчики AS/400 часто не утруждали себя изменением пароля, установленного в системе по умолчанию, что создавало явную "дыру" в защите.

При уровне 40 пользователь AS/400 также должен быть зарегистрирован, должен знать правильный пароль для входа в систему и иметь права на доступ к системным ресурсам. Впрочем, пользователи с ограниченными возможностями при этом уровне защиты тоже поддерживаются.

В отличие от уровней 10–30, при уровне защиты 40 доступ к нестандартным интерфейсам блокирован. Пользователю теперь доступны далеко не все команды MI, а лишь их разрешенный набор, включая сотни API, разработанных для ISV . Остальные же команды блокированы, то есть система не будет исполнять их в пользовательской программе.

Тем не менее, команды из блокированного набора попрежнему доступны OS/400. Для различия программ OS/400 и пользовательских, были введены понятия системного и пользовательского состояния , к которым можно отнести любой процесс на AS/400. Использование заблокированных команд и доступ, таким образом, к некоторым объектам системы разрешены только в системном состоянии.

Для большей надежности защиты в V1R3 была также устранена адресация на базе возможностей, а из системных указателей, предоставляемых пользователям, убраны все права доступа.

Защита C2 (уровень 50)

Уровень 40 обеспечивает системе достаточную степень защищенности в большинстве случаев. Однако, некоторым фирмам, выполняющим государственные заказы, необходим уровень защиты, сертифицированный правительством США. Таких сертификатов несколько, включая, так называемый, уровень С2. Они включают такие положения, как защита ресурсов пользователя от других пользователей и предотвращение захвата одним пользователем всех системных ресурсов, например, памяти. Кстати, подобные требования сейчас применяются и во многих неправительственных организациях.

Для заказчиков, нуждающихся в правительственных сертификатах, мы дополнили уровень защиты 40 на AS/400 до соответствия упомянутому уровню С2. Так в версии V2R3 появилась защита уровня 50.

Но прежде чем система будет признана соответствующей стандарту С2, она должна пройти всеобъемлющую проверку. В настоящее время такая проверка идет.

Правительством США определены уровни защиты от А до D, где А - наивысший уровень защиты, а D – самый низкий. Классы B и С имеют несколько подуровней. Уровень защиты С2 - уровень, наивысший из обычно используемых в бизнесе. В будущем, если возникнет такая необходимость, мы сможем включить в AS/400 поддержку и более высоких уровней защиты.

Несанкционированный доступ к информации (НСД) — это доступ к данным, который нарушает правила разграничения доступа с реализацией определенных средств которые являются средствами вычислительной техники или автоматизированными системами. По мнению экспертов способами несанкционированного доступа есть:

  • Склонение к сотрудничеству
  • Инициативное сотрудничество
  • Выпытывание, выведывание
  • Подслушивание
  • Хищение
  • Наблюдение
  • Подделка (изменение)
  • Копирование
  • Уничтожение
  • Перехват
  • Незаконное подключение
  • Фотографирование
  • Негласное ознакомление

Инициативное сотрудничество часто проявляется в определенных ситуациях, когда неудовлетворенные лица готовы ради наживы пойти на противоправные действия. Причины могут очень разные, это и финансовые, моральные, политические и тд. Такого человека легко убедить в сотрудничестве по предоставлении конфиденциальной информации предприятия, если конечно он имеет доступ.

Склонение к сотрудничеству — обычно это насильные методы со стороны злоумышленников. Такие методы основаны на запугивании, подкупе или шантаже. Склонение сотрудников проводится путем реальных угроз с преследованием шантажа. Это самый агрессивный способ из существующих, так как мирный визит может превратится в жестокие действия с целью устрашения.

Выпытывание,выведывание — это вид деятельности который основан на задавании сотруднику наивных вопросов, для получение определенной информации. Также выпытывать данные можно и ложными трудоустройствами или же другими действиями.

Подслушивание — это метод для промышленного шпионажа или разведки, который применяется специальными людьми (наблюдатели, информаторы) специальными средствами подслушиваниями. Подслушивание может реализовываться непосредственно восприятием акустических волн или же специальными средствами на расстоянии.

Наблюдение — это метод из разведки о статусе деятельности наблюдаемого. Такой метод ведется с помощью оптических приборов. Такой процесс занимает много времени и средств, по этому такой метод обычно реализуется целенаправленно, в определенное время с квалифицированными людьми.

Хищение — Это умышленное завладение чужими ресурсами, документами и тд. Грубо говоря, похищают все что плохо лежит, по этому нужно тщательно относится к конфиденциальным носителям данных.

Копирование — Обычно копируются документы которые содержат ценную информацию. Доступ получается нелегальным путем, зачастую из-за плохой СЗИ.

Подделка — это изменение данных которая в реалиях конкуренции имеет большие масштабы. Подделывают все, что бы получить ценные данные.

Уничтожение — Удаление данных на технических носителях информации. Если взять более абстрагировано, уничтожаются и люди, и документы и другие элементы информационной системы которые имеют некий смысл.

Незаконное подключение — понимают бесконтактное или контактное подключение к разным проводам разного назначения.

Перехват — это получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными методами приема. Перехвату подлежат любые сигналы в радиосвязи или же проводной связи.

Негласное ознакомление — это метод получения данных, к которым субъект не имеет доступа, но при определенных стечения обстоятельств может кое-что узнать. К примеру смотреть в экран ПЭВМ или же открыть документ лежащий на столе.

Фотографирование — метод получения изображения объектов на фотоматериале. Особенностью метода является получения детальных данных при дешифрировании снимка.

По мнению экспертов такой перечень есть не пересекаемым и независимым на определенном уровне абстракции. Он позволяет рассмотреть определенное множество выборок таких методов вместе. На рис.1 показана обобщенная модель способов НСД к источникам конфиденциальной информации.

Не секрет, что спецслужбы пристально следят за своими подопечными, при этом используя разные контрразведывательные . При этом нужно понимать, через какой способ получения информации есть несанкционированное получение доступа. Способ — это прием или порядок действий, которые приводят к реализации цели. Способ несанкционированного доступа (способ НСД) — это набор действий и приемов, с целью добывания данных незаконным путем с дополнительным воздействием на эту информацию.

В наше время способы НСД к данным разные: реализация специальных технических средств, использование прогрехов а системах, или другие как показано на рис.1. Кроме того, способы НСД напрямую связанны с особенностями источника конфиденциальных данных.
Имея набор источников информации и набор способов НСД к ним, можно просчитать вероятность и построить модель их связи. Многие способы применимы к источникам — технические средства обработки и люди. Хоть и другие способы не к примеру не влияют на такие распространенные источники, их опасность может быть даже больше.

Степень опасности способа НСД смотрится по нанесенному ущербу. По сколько информация сегодня имеет свою цену, то сам факт приобретения информация приравнивается к получению денег. Злоумышленник преследует три цели:

  • получить данные для конкурентов и продать.
  • изменить данные в информационной сети. Дезинформация.
  • Уничтожить данные.

Рисунок — 1 (для просмотра нажмите на картинку)

Главная цель — добыть информацию о состоянии, составе и деятельности объектов конфиденциальных интересов для своих целей или обогащения. Другая цель — изменение информации, которая существует в информационной сети. Такой способ может привести к дезинформации в определенных областях деятельности, изменить результат поставленных задач. При этом очень сложно реализовать такую схему дезинформации, нужно провести целый комплекс действий и предусмотреть очень много событий. Самая опасная цель — это уничтожение данных. От задач зависит как и выбор действий, так и их качественный или количественные характеристики.

Способы НСД к информации с помощью технических средств

Любая электронная система, которая содержит совокупность узлов, элементов и проводников и обладает при этом источниками информационного сигнала — есть каналами утечки конфиденциальной информации. Способы НСД и каналы утечки объективно связанны. Варианты связей показаны В табл. 1.

Таблица — 1

От каждого источника образуется канал утечки данных при этом его конкретные параметры изучаются и испытываются способы атак в лабораториях. Действия могут быть активными и пассивными. К пассивным относят реализацию технических каналов утечки информации без прямого контакта или подключения. Способы обычно ориентированны на получение данных. Активные методы подключаются к линиям связи. Линии связи могут быть:

  • Проводные (волоконно-оптические).
  • Беспроводные (Wi-Fi).

Способы НСД к линиям связи

Зачастую в качестве линий связи используют телефонные линии или оптоволоконные линии. Способы прослушивания телефонных линий показаны на рис.2.

Рисунок — 2

Также есть системы прослушивания линий, которые не требуют прямого контакта с телефонной линией. Такие системы используют индуктивные методы съема данных. Такие системы не имеют широкого применения, так как они сильно большие из-за содержания несколько каскадов усиления слабого НЧ-сигнала и в добавок внешний источник питания.

Но на сегодня линии оптоколокна имеют более широкий спектр реализации. Информация по такому каналу передается в виде пульсирующего светового потока, на который не влияют магнитные и электрические помехи. Также по такому каналу тяжелее перехватить данные, что повышает безопасность передачи. При этом скорость передачи достигает Гигабайт/секунду. Для подключении к такому каналу связи, удаляют защитные слои кабеля. Потом стравливают светоотражающую оболочку и изгибают кабель по специальным углом, что бы снимать информацию. При этом сразу будет заметно падать мощность сигнала. Также можно бесконтактно подключатся к каналу связи, но для этого нужно иметь определенный уровень знаний и подготовки.

Способы НСД к беспроводным линиям связи

Транспортировка данных с помощью высокочастотных СЧВ и УКВ диапазонах дает возможность реализовать передачу информацию и компьютерную сеть там, где положить обычный проводные каналы есть сложно. В таких каналах связи передача информации возможно со скорость до 2 Мбит/с. При этом есть вероятность помех и перехвата информации. Перехват данных работает на основе перехвата электромагнитных излучений с дальнейшем анализом и расшифровывания. Перехват информации по таким каналам имеет свои особенности:

  • данные можно получить без прямого контакта с источником;
  • на сигнал не влияет ни время года/суток;
  • прием данных проходит в реальном времени;
  • перехват реализуется скрытно.
  • дальность перехвата ограничена только характеристикой волн распространения.

Защиты от несанкционированного доступа

Существует байка о том, как нужно хранить информацию. Она должна быть в одном экземпляре на компьютере, который расположен в бронированном сейфе, отключенный от всех сетей и обесточенный. Такой метод мягко говоря, очень жестокий, однако и такие бывали случаи. Что бы защитить данные от НСД, нужно понять какой доступ считается санкционированным, а какой нет. Для этого нужно:

  • разбить информацию на классы, которая обрабатывается или хранится на ПК
  • разбить пользователей на классы по доступу к данным
  • расставить эти классы в определенные связи обмена данным между собой

Системы защиты данных от НСД должно поддерживать реализацию следующих функций:

  • аутентификация
  • идентификация
  • разграничение доступа пользователей к ЭВМ
  • разграничение доступа пользователей к возможностями над информацией
  • администрирование:
    • обработка регистрационных журналов
    • определение прав доступа к ресурсам
    • запуск системы защиты на ЭВМ
    • демонтированные системы защиты с ЭВМ
  • Вывод на попытки НСД
  • регистрация событий:
    • нарушения прав доступа
    • вход/выход пользователя из системы
  • контроль работоспособности и целостности систем защиты
  • поддержание информационной безопасности при ремонтно-профилактических работах и аварийных ситуациях

Права пользователей доступа к ресурсам описывают таблицы, на основе которых проводится проверка аутентификации пользователя по доступу. Если Пользователь не может получить запрашиваемые права доступа, значит регистрируется факт НСД и проводятся определенные действия.

Аутентификация и идентификация пользователя

Для доступа пользователю к ресурсам системы, он должен пройти процесс:

  • Идентификации — процесс предоставления системы пользователем свое имя или другой идентификатор
  • Аутентификация — процесс подтверждения системой пользователя на основе идентификатора и пароля или другой информации (см. , )

Исходя из этого, для проведения этих процедур, нужно что бы:

  • была программа аутентификации
  • у пользователя была в наличии уникальная информация

Есть две формы хранения идентификационных данных о пользователе, это внутренняя (запись в базе) или внешняя (карточка). Любому носителю информации, который нуждается в опознании системой, существует соответствие в системе аутентификации:

  • ID i — неизменный идентификатор i-го пользователя, который для системы является аналогом имени пользователя
  • K i — аутентифицирующие данные пользователя

Существует две типовые схема аутентификации и идентификации. Первая схема:

В такой схеме E i = F (ID i , K i), где невосстановимость K i считается как некий порог трудоемкость Т 0 для восстановления K i по E i и ID i . Для пары K i и K j возможное совпадение значений E. В связи с такой ситуацией, вероятность ложной аутентификации пользователей системы не должна превышать некий порог P 0 . На практике дают такие значения: T 0 = 10 20 ….10 30 , P 0 = 10 -7 ….10 -9 .

Для такой схемы существует протокол аутентификации и идентификации:

  • Пользователь предоставляет свой идентификатор ID
  • Вычисляется значение E = F(ID, K)

В другой схеме E i = F(S i , K i), где S — случайный вектор, который задается при создании идентификатора пользователя. F — функция, которая имеет аспект невосстановимости значения K i по E i и S i .

Протокол для второй схемы аутентификации и идентификации:

  • Пользователь показывает системе свой идентификатор ID
  • Если существует такой ID i , где ID=ID i , то идентификация пользователем пройдена успешно, иначе нет.
  • По идентификатору ID выделяется вектор S
  • Алгоритм аутентификации просит ввести пользователя его аутентификатор К
  • Вычисляется значение E = F(S, K)
  • Если E = E 1 то аутентификация пройдена, иначе нет.

Вторая схема используется в ОС UNIX. Пользователь в качестве идентификатора вводит свое имя (Login), а пароль в качестве аутентификатора. Функция F является алгоритмом шифрования DES. (см. )

В последнее время набирают обороты биометрические методы идентификации и аутентификации, этому способствует:

  • Высокая степень доверенности по признакам из-за их уникальности
  • Трудная фальсификация этих признаков

В качестве признаков пользователя может использоваться:

  • отпечатки пальцев
  • сетчатка глаз и узор радужной оболочки
  • форма руки
  • форма ушей
  • форма лица
  • особенности голоса
  • рукописный почерк

При прохождении регистрации пользователь должен показать свои биометрические признаки. Сканированный образ сравнивается с образом который существует в базе данных. Системы идентификации по глазу имеют вероятность повторения данных характеристик — 10 -78 . Таким системы наиболее надежные среди остальных биометрических систем. Такие системы применяются в зонах оборонительных и военных объектов. Системы идентификации по отпечаткам пальцев самые распространенные. Причиной массовости заключается в том, что существует большая база по отпечаткам пальцев. Спасибо полиции. Системы идентификации по лицу и голосу самые доступные из-за их дешевизны. Такие системы применяются при удаленной идентификации, к примеру в сетях.

Нужно отметить, что использование биометрических характеристик для идентификации субъектов пока не получило надлежащего нормативно-правового обеспечения, в виде стандартов. Поэтому применение таких систем допускается только там, где идет обработка данных которые составляют коммерческую или служебную тайну.

Взаимная проверка подлинности пользователей

Стороны, которые вступают в информационный обмен нуждаются в взаимной аутентификации. Такой процесс обычно реализуется в начале сеанса обмена. Для проверки подлинности, существуют способы:

  • механизм отметки-времени (временной штепмель )
  • механизм запроса-ответа

Механизм запроса-ответа подразумевает ситуацию, когда пользователь А хочет быть уверен, данные которые подсылает пользователь В не фальшивые. Для этого пользователь А отправляет непредсказуемый элемент — запрос Х , над которым пользователь В должен выполнить заранее оговоренную операцию, и отправить результат пользователю А. Пользователь А проверяет результат с тем, что должен был выйти. Недостаток такого метода заключается в том, что можно восстановить закономерность между запросом и ответом.

Механизм отметки времени подразумевает регистрацию времени для каждого отправленного сообщения. В таком случае пользователь сети может определить насколько устарело сообщение. В обоих случая дополнительно нужно применять шифрование.

Также есть механизм рукопожатия , который основан на предыдущих двух механизмах и заключается в взаимной проверке ключей, который используют стороны обмена. Такой принцип используют для создания соединения между хостом-компьютером и тд в сетях.

В качестве примера, рассмотрим двух пользователей А и В, которые разделяют один и тот же секретный ключ K AB .

  • Пользователь А инициирует механизм, и отправляет пользователю В свой идентификатор ID A в открытой форме
  • Пользователь В получает идентификатор ID A , находит ключ K AB для дальнейшего использования
  • Пользователь А генерирует последовательность S с помощью генератора PG и отправляет пользователю В в виде криптограммы E K AB S
  • Пользователь В расшифровывает эту криптограмму
  • Оба пользователя изменяют последовательность S, с помощью односторонней функцией f
  • Пользователь В шифрует сообщение f(S), и отправляет криптограмму E K AB (f(S)) пользователю А
  • Пользователь А расшифровывает такую криптограмму, и сравнивает f(S) исходное и расшифрованное. Если они равны, то подлинность пользователя В для пользователя А доказана.

Пользователь В доказывает подлинность А таким же способом. Плюсом такого механизма это то, участники связи не получают никакой секретной информации во время механизма.

Также можно использовать DLP системы. Такие системы основаны на анализе потоков данных, которые пересекаются с данными защищаемой информационной системы. При срабатывании сигнатуры, срабатывает активный элемент системы, и передача пакета, потока, сессии блокируется. Такие системы базируются на двух методах. Первым анализирует формальные признаки информации. К примеру метки, значение хеш-функций и др. Такой способ разрешает избежать ложных срабатываний (ошибки 1го рода), но для этого документы нужно обработать дополнительной классификацией. Другом способ — анализ контента. Он допускает ложные срабатывания, но разрешает выявить пересылку конфиденциальных данных не только среди обработанных документов. Основной задачей таких систем это предотвращения передачи конфиденциальных данных за пределы информационной системы. Такая утечка может быть намеренной или ненамеренной. Практика показывает, что 75% инцидентов происходит не специально, а из-за ошибок, небрежности или невнимательности самих сотрудников. Такие утечки выявить не сложно, сложнее выявить специальные атаки. Исход борьбы зависит от многих параметров, и гарантировать 100% успех невозможно.

Делая итог, нужно отметить, что НСД является намеренной угрозой с доступом к . Существует множество способов как это сделать. Службе информационной безопасности нужно тщательно следить за информационными потоками а так же за пользователями информационной системы. С развитием технологий появляются новые методы НСД и их реализации. Нужно начальству выделять ресурсы для обновления и улучшения системы защиты информационной системы, так как со временем она устаревает и теряет возможность препятствовать новым атакам. Нужно помнить, что абсолютной защиты нету, но нужно стремится к ней.